Nadie sabe cuánto tiempo, ni quién la utilizó, pero el 16 de septiembre de 2019, los ecuatorianos se enteraron que información privada y sensible de millones de ellos flotaba, a la deriva, en un servidor poco seguro, en un base de datos de una compañía llamada Novaestrat. vpnMentor –una empresa de redes privadas virtuales (VPNs, por sus siglas en inglés) y privacidad web– descubrió la filtración. Un sitio de noticias tecnológicas lo publicó y hubo un pequeño escándalo local. Pero la ligereza con la que se tomó la noticia da cuenta de lo poco que entendemos los ecuatorianos  sobre el valor de nuestra información. 

| Si quieres recibir los textos de GK en tu correo, regístrate aquí. |

Si en el siglo XX el ser humano debía ir a la mina para sacar los materiales preciosos y venderlos, ahora no tiene que moverse de un escritorio. Ahora, las minas son  las bases de datos, donde –con fines políticos y de marketing– lo que se extrae son nuestros datos. “Ya no somos su cliente”, dice el filósofo israelí Yuval Novah Harari en su libro 21 lecciones para el siglo XXI, “somos el producto”. 

La base de datos de Novaestrat era una mina abierta. La información que contenía podría servir para suplantaciones, duplicaciones y hasta chantajes y secuestros. Pero no debería llegar a niveles tan sórdidos como para que nos preocupemos. Lo que deberíamos hacer es empezar una conversación sobre la propiedad de los datos en nuestro país y entender quién los está vendiendo. 

§

Hay una dimensión política de la tecnología que debe debatirse. Para Ibai Fernández, fundador de Aglaya, una empresa de marketing digital, el Ecuador no está preocupado en lo más mínimo en lo que respecta a la filtración de datos. “Las autoridades deberían asumir responsabilidades, estamos hablando de todos los datos de una nación. Así que no sé. Las autoridades, no van a poder cambiar los números de cédula de todos para protegernos” dice Fernández. 

Varias horas después de que se conociera sobre la filtración de los datos de millones de ecuatorianos, el gobierno de Ecuador se pronunció. Andrés Michelena, ministro de Telecomunicaciones atribuyó la filtración de la información de millones de ecuatorianos al gobierno del expresidente, Rafael Correa. “La práctica del gobierno anterior de crear un sistema nacional de información con las bases de datos de todos los ecuatorianos, IESS, SRI, Banco de Fomento, Ban Ecuador y ciertas instituciones se utilizaban dentro de ciertos sistemas de información política, electoral y de marketing político en el gobierno anterior”, dijo.

Pero esta conversación va mucho más allá de funcionarios de turno: se necesita una política de Estado Michelena también fue funcionario del gobierno al que hoy endilga la responsabilidad del cuidado de los datos. Según el Ministro, los datos bancarios de los ecuatorianos estaban a salvo. No ofreció ninguna evidencia de que así fuera, y en su lugar se limitó a ofrecer en Twitter el envío de un proyecto de ley de #ProtecciónDeDatosPersonales. Ley en la que, según el Ministro, su gobierno ha trabajado durante ocho meses y que fue presentada el 19 de septiembre a la Asamblea.

Además, Michelena reconoció algo que debería espeluznar al país entero: dijo que en el Ecuador había un mercado negro de bases de datos: la información de millones de ecuatorianos está siendo comercializada sin la autorización de sus dueños. Iván Muela dijo al New York Times que le indignaba lo que sucedía. “Me siento desnudo y abusado porque esta gente tenga mi información sin mi permiso”. Además, Muela insistió en que la gente no entiende “cuán grave es esto”.

El presidente Lenín Moreno, dijo en Twitter que había dispuesto que Michelena y la ministra de Gobierno, María Paula Romo, “informen públicamente sobre la filtración de datos, la investigación en marcha y los responsables”. Además, Michelena presentó la Política de Seguridad de la Información de las Entidades del Sector Público, por la cual los datos del Estado se alojarán en el data center de la Corporación Nacional de Telecomunicaciones (CNT), la única entidad gubernamental que contaría con certificaciones internacionales. Michelena dijo que gobierno invertirá 11 millones de dólares para proteger los datos de los ciudadanos. 

Todo es reactivo y nada se parece ni remotamente a una política integral de seguridad digital. El abogado experto en seguridad cibernética, Diego Beltrán, dice que las medidas anunciadas son paliativas. Está bien que si la información no está en un sitio seguro se la pase a un sector que sí tenga más medidas de seguridad. Pero concentrar toda la información en un solo lugar también es riesgoso. Además, si han atacado a sistemas con medidas de seguridad mucho más estrictas, como la Agencia de Seguridad Nacional de Estados Unidos, es difícil creer que estamos totalmente seguros.  Por eso se debería tener otros sistemas de respaldo distribuidos. “El problema es el Estado tiene que tener suerte cada vez, mientras que los agentes negativos solo una” dice Beltrán.

El proyecto de Ley de Protección de Datos es un paso importante, pero no servirá de nada por sí solo. Según Beltrán, miembro de la Asociación Ecuatoriana de Protección de Datos Personales, se generaron una serie de observaciones al proyecto de Ley, y no se sabe si fueron incluidas: la versión final todavía no se conoce públicamente. El experto dice que es necesario revisarla para ver si cumple los estándares técnicos y jurídicos mínimos. Beltrán explica que incluso una buena ley no va a solucionar absolutamente nada, si no está acompañada de una adecuada política del Ejecutivo y una adecuada educación del Estado, del sector privado y de los usuarios.

§

Nadie sabe con exactitud cómo fue que datos tan delicados llegaron a manos de una pequeña compañía. Iván Muela, arquitecto de software de una multinacional de tecnología, dice que unas de las principales preguntas detrás de la filtración es cómo se consiguieron la información del Banco del Instituto Ecuatoriano de Seguridad Social, que está bajo reserva por e principio de sigilo bancario,  y de la Asociación de Empresas Automotrices del Ecuador (AEADE), que dijo no procesa bases de datos, aunque según la nota internacional que reveló la filtración dijo que era una de las fuentes. Ninguna de las dos instituciones, una pública y otra privada, vende bases de datos. “¿Por qué tienen ellos este tipo de información?”, se pregunta Muela Flor sobre la empresa propietaria de las bases filtradas, “hay un montón de tela que cortar”. 

Otra duda que debe aclarar el gobierno del Ecuador es cuánto tiempo estuvo esta información colgada sin seguridades y quiénes tuvo acceso a ella. A Iván Muela le preocupa, además de por qué Novaestrat tuvo acceso a toda esa información, la cantidad de información de menores de edad que había en la base de datos vulnerada  –6,7 millones de niños, niñas y adolescentes. 

Las consecuencias podrían ser gravísimas. Con la información filtrada se puede saber si una persona tiene créditos en el BIESS, cuál es su sueldo, dónde vive y con esa información determinar su capacidad de compra y hacer un perfil para vender a terceros. En el peor de los casos, la información puede ser utilizada para delinquir. A Ibai Fernandez le sorprende la falta de preocupación de los ciudadanos y explica que probablemente es porque no entendemos la magnitud de las consecuencias que esta filtración de datos puede tener. Alfredo Velazco, director de la organización no gubernamental Usuarios Digitales, no descarta la responsabilidad de los funcionarios públicos que, por acción u omisión, tendrían responsabilidad en este grave quiebre de seguridad. El gerente de Novaestrat, que fue detenido para investigaciones, trabajó en el gobierno de Rafael Correa en la Secretaría Nacional de Comunicación entre 2012 y 2013 y como Gerente de Investigación y Desarrollo en el Banco Nacional de Fomento, entre 2014 y 2016. 

Además, Velazco dice que se debería revisar todo lo que concierne a ciberseguridad en el país. “Ecuador es uno de los pocos países que no ha suscrito el convenio de Budapest, que permitiría como país hacer un seguimiento de ciberdelincuentes internacionales”. El Convenio de Budapest sobre la Ciberdelincuencia es un acuerdo internacional para combatir el crimen organizado transnacional. Se encarga, específicamente, de delitos informáticos y busca establecer una legislación penal y procedimientos comunes entre los estados que son parte. Fue firmado en noviembre de 2001 en el Consejo de Europa. Actualmente 66 países han firmado el convenio y está abierto a otros países invitados a participar en él. 

La venta de bases de datos no es algo nuevo y todo el tiempo exponemos nuestros datos. Una simple búsqueda en Google puede entregar información valiosa como gustos, preferencias e incluso ubicación. Jon Leibowitz, presidente de la Comisión Federal de Comercio de los Estados Unidos (FTC, por sus siglas en inglés), acuñó la palabra cyberazzi para describir  las cookies y los captadores de datos que toman información de nuestra actividad en sitios web. En sitios web como OLX o MercadoLibre se ofrecen bases de datos con números de teléfono y correos electrónicos. Incluso instituciones públicas, como el Registro Civil, tienen un sistema de comercialización de datos desde 8 hasta 30 centavos.

Hace unas semanas, cuando el Banco Pichincha sufrió un daño que dejó a muchos de sus clientes sin acceso a su dinero, la superintendenta de Bancos, Ruth Arregui, reconoció que el sistema bancario ecuatoriano era blanco constante de ataques informáticos. Los bancos del Ecuador han advertido constantemente a sus usuarios sobre el phishing, un crimen digital en el que el delincuente (el phisher) se hace pasar por una persona o empresa de confianza para conseguir contraseñas, respuestas de seguridad y otra información confidencial para robar dinero u otros bienes. Hace tres años, el Banco del Austro perdió 12 millones de dólares en un hackeo. El asalto cibernético fue noticia en medios internacionales, pero en el Ecuador no se supo demasiado. 

En abril de 2019, después de la salida de Julian Assange de la embajada de Ecuador en Londres y los ataques cibernéticos contra el Ecuador, María Paula Romo dijo que el país no ha firmado ni ratificado el Convenio sobre Ciberdelincuencia. Hasta el momento no se ha confirmado que Ecuador vaya a firmar o ratificar el Convenio. 

§

Lo que pasó en el Ecuador con Novaestrat podría tener su consuelo para tontos: ha pasado en muchas otras partes. En Chile se filtraron los datos de las tarjetas de crédito de más de 41 mil clientes de trece bancos. El sistema de Redbanc, empresa encargada de prestar servicios de procesamiento de transacciones bancarias chilena, habría sido vulnerado. El riesgo fue tan alto que la Comisión para el Mercado Financiero de Chile (CMF) decidió “bloquear preventivamente las tarjetas y a comunicarse con los clientes afectados». 

En 2019 se han registrado varios ataques grandes a la seguridad digital. El 4 de enero, datos confidenciales sobre cientos de políticos alemanes se filtraron en línea. Las víctimas incluyen políticos nacionales, regionales y de la Unión Europea de todos los partidos políticos alemanes, excepto la Alternativa de extrema derecha para Alemania (AfD). Los datos filtrados incluían números de teléfono personales, direcciones de correo electrónico, correspondencia laboral, conversaciones familiares, fotos de vacaciones, fotos de tarjetas de identificación, información de cuenta bancaria y copias de tarjetas de identidad. Se publicó la dirección de correo y algunas cartas de la Canciller Angela Merkel. 

Una de las filtraciones de datos más grandes fue descubierta por el experto en seguridad digital Troy Hunt en enero de 2019. La denominada ‘Colección #1’ era un paquete de 12 mil archivos que incluían más de 772 millones de correos electrónicos y 21 millones de contraseñas. La información podía tener más de mil millones de combinaciones de correos y contraseñas, pero eso se resolvía fácilmente con la creación de un programa de software bastante simple para comprobarlas. Según Hunt, esta información había sido recolectada de filtraciones de miles de fuentes diferentes.

Esta información permitía que los hackers logren desde un phishing muy productivo – los delincuentes podía enviar automáticamente correos electrónicos maliciosos a la lista de contactos de una víctima – hasta provocar ataques dirigidos diseñados para robar la identidad digital o el dinero de las víctimas o para comprometer los datos de sus redes sociales. Un banco bangladesí perdió 81 millones de dólares en una ataque informático.

§

De vuelta al presente y al país, las investigaciones sobre la filtración de la base de Novaestrat avanza a paso lento. La noche del 16 de septiembre de 2019, la ministra de Gobierno, María Paula Romo, informó en su cuenta de Twitter que el Gerente de Novaestrat, fue detenido en Esmeraldas. La Fiscalía confirmó que tomó su versión y la del presidente de la compañía como parte de la investigación por un presunto delito de violación a la intimidad. Además, se allanó el domicilio del gerente, identificado como William Roberto G. En su casa funcionaba, además, Novaestrat. Se incautaron equipos electrónicos, dispositivos de almacenamiento y documentación. Pero ninguno fue detenido y no se han formulado cargos hasta el momento. 

Que una compañía que funcionaba en la casa de su gerente es una alarma que debería saltar. Iván Muela se pregunta cómo es posible que una empresa de ese tamaño tenga acceso a millones de registros. “Para obtener información básica del Registro Civil se necesita el número de cédula de la persona cuyos datos se pide. Para conseguir veinte millones de dólares se necesitan 1,6 millones de dólares ¿Pagó eso esta compañía?”, se pregunta Muela. La defensa de Novaestrat ha dicho que en los veinte millones de registros hay duplicaciones, por lo cual número sería menor. Si fuese la mitad, igual se habrían necesitado 800 mil dólares para obtener la información más básica del Registro Civil.¿Cómo pasó lo que pasó?

Según vpnMentor, este tipo de fallas de seguridad pasan por negligencia y son más comunes de lo que uno pensaría. En su página web hay otros reportes de ejemplos previos. Como la violación de datos de BioStar 2, una aplicación que permite a los administradores controlar el acceso a áreas seguras de instalaciones, con medidas biométricas para proteger la identidad de los usuarios. Se filtraron más de un millón de registros de reconocimiento facial y huellas dactilares que una vez robadas, no pueden ser recuperadas. 

En la filtración de los datos ecuatorianos el equipo de vpnMentor siguió un protocolo: reportó las vulnerabilidades de la base de datos, intentó comunicarse con Novaestrat por Facebook – la única forma de contacto de la compañía que estaba disponible, aunque su fanpage ya no existe– y le pidió al Centro de respuesta a incidentes informáticos del Ecuador (EcuCERT) que cierre la base de datos. Los siguientes pasos dependen de las autoridades ecuatorianas. Romo y Michelena han sido convocados por la Asamblea a la Comisión de Soberanía Integración, Relaciones Internacionales y Seguridad Integral de la Asamblea para “explicar qué medidas han adoptado frente a esta situación”. Sin embargo,  una de las representantes de vpnMentor dijo que el daño podría ser irreversible: “Puede que sea muy tarde. Los caballos ya se escaparon del establo”. Si esto es cierto, los caballos no viajan ligeros: llevan encima todos nuestros datos personales, que son el oro del futuro.